2019年1月，中國人民銀行聯(lián)合中國銀行保險監(jiān)督管理委員會、中國證券監(jiān)督管理委員會印發(fā)了《關于金融行業(yè)貫徹〈推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃〉的實施意見》，提出了金融行業(yè)IPv6規(guī)模部署的規(guī)劃和推進路徑，金融行業(yè)IPv6規(guī)模部署工作穩(wěn)步有序推進。

目前，已有部分機構的部分系統(tǒng)實現(xiàn)了IPv4向IPv6的平滑過渡。

進入后IPv4時代的金融行業(yè)網(wǎng)絡安全亟待加強。

　　安全挑戰(zhàn)　　IPv6是數(shù)據(jù)包交換互聯(lián)網(wǎng)絡的網(wǎng)絡層協(xié)議，由互聯(lián)網(wǎng)工程任務小組設計用來替代IPv4協(xié)議，主要用于尋址和路由。

作為下一代網(wǎng)絡協(xié)議，IPv6在安全性方面較IPv4具有明顯的優(yōu)勢。

有巨大的地址空間；由多播代替廣播；具有IPSec加密系統(tǒng)。

但是任何一項協(xié)議都不是絕對安全的。

隨著金融行業(yè)IPv6的規(guī)模部署，新的安全挑戰(zhàn)出現(xiàn)。

從網(wǎng)絡協(xié)議角度，IPv6作為IPv4的下一代，與IPv4同屬于網(wǎng)絡層的傳輸協(xié)議，其原理是相似的，必然要面對從IPv4繼承來的一些安全問題。

同時在IPv4向IPv6的改造過程中，各種過渡技術與方案的安全隱患也不容忽視。

　　（一）IPv6新增安全問題。

IPv6報文結構中引入的新字段、IPv6協(xié)議族中引入的新協(xié)議都將可能引發(fā)新的安全問題。

一是利用擴展頭進行拒絕服務攻擊。

為了提高路由器轉發(fā)數(shù)據(jù)包的效率，IPv6設計了擴展報頭取代了IPv4的選項。

但是IPv6數(shù)據(jù)包可以支持任意數(shù)量的擴展頭，而且不限長度。

IPv6路由器在處理包含IPv6擴展頭的數(shù)據(jù)包的過程中，唯一要處理的就是逐跳選項擴展報頭。

如果此時攻擊者發(fā)送大量的擴展頭，那么路由器就會花費大量的時間和速率來處理擴展頭，導致性能下降，產生拒絕服務攻擊行為。

二是地址欺騙攻擊。

IPv6使用的是鄰居發(fā)現(xiàn)協(xié)議(NS)來發(fā)現(xiàn)其他節(jié)點和相應地址。

在節(jié)點之間進行初次適配時會發(fā)送NS報文，此時的NS報文中包含有節(jié)點對應的地址。

攻擊者如果在這個時候偽造對應的NS報文，并返回此地址已經(jīng)被使用的報文給發(fā)送節(jié)點，那么節(jié)點將會被迫更換地址。

通過持續(xù)攻擊，節(jié)點將無法完成地址適配，從而無法進行正常通信。

三是IPSec漏洞攻擊。

在部署有IPSec的設備之間通信時，內容在整個傳輸過程中是透明的，沒有密鑰是無法獲知內容的。

而一旦竊聽者通過某種途徑獲取了密碼時，那么這個時候傳輸數(shù)據(jù)將被順利獲取，對信息安全造成威脅。

四是IPv6分片攻擊。

IPv6在在處理數(shù)據(jù)的過程中會丟棄小于1280字節(jié)的數(shù)據(jù)包，同時引入入侵檢測系統(tǒng)，此舉可以有效避免可能進行的分片攻擊。

但是攻擊者仍然可以在數(shù)據(jù)進行分片時進行重組然后打亂，此時監(jiān)測系統(tǒng)就不會識別出正確順序，攻擊數(shù)據(jù)將會趁機而入。

攻擊者也可以故意不發(fā)送數(shù)據(jù)包中的一部分分片包或者故意發(fā)送多個分片包，從而耗盡內存資源導致系統(tǒng)崩潰。

　　（二）IPv4向IPv6過渡期安全問題。

當前金融行業(yè)正逐步實施由IPv4向IPv6的過渡，IPv4將在一段時期內與IPv6共存。

金融行業(yè)在過渡時期采用的技術方案主要有雙棧技術、隧道技術和NAT地址轉換，這三種技術也為金融行業(yè)網(wǎng)絡安全帶來新的問題。

雙棧技術同時運行IPv4和IPv6兩個邏輯通道，增加了系統(tǒng)的暴露面，需要在防火墻等安全設備配置雙棧策略，維護風險加倍，網(wǎng)絡防火策略更加復雜，網(wǎng)絡被侵入的可能性加倍。

隧道技術缺乏內置認證、完整性和加密等安全功能，僅對數(shù)據(jù)包進行簡單的封裝與解封操作，內置認證不足，缺乏安全保障，不會對IPv4及IPv6的地址關系進行嚴格檢查，導致隧道報文容易泄露，并通過對內層及外層地址的偽造，以合法用戶的形式向隧道注入流量。

NAT地址轉換的應用使IP流在不同協(xié)議間轉換，涉及載荷轉換，易形成NAT設備地址池消耗殆盡等問題，導致DDoS攻擊問題。

出口邊緣的翻譯設備作為IPv6與IPv4互連節(jié)點，成為NAT的安全瓶頸，一旦被攻擊可能導致網(wǎng)絡癱瘓。

　　應對措施　　IPv6設計了一系列安全機制，促使網(wǎng)絡安全性得到了提升。

但在認識到IPv6安全性優(yōu)勢的同時，金融行業(yè)還應關注IPv6存在的安全問題，深入研究IPv6的技術特點，針對各種可能的安全威脅，改進完善技術手段，建立健全防范機制，繼而提升IPv6在經(jīng)濟金融領域深度融合的安全保障能力。

　　（一）提高安全意識。

金融行業(yè)要強化風險控制意識，堅持發(fā)展與安全并舉，推進IPv6規(guī)模部署與網(wǎng)絡安全同步規(guī)劃、同步建設、同步運行。

統(tǒng)籌考量基礎設施層、應用層和業(yè)務層的安全防護，強化縱深防御體系，在各平面采取措施加強安全漏洞管理，防范IPv6升級改造引發(fā)的安全生產風險。

　　（二）加強行業(yè)溝通。

通過金融行業(yè)之間、金融行業(yè)與信息產業(yè)之間的聯(lián)合發(fā)力，及時掌握IPv6技術動態(tài)與行業(yè)、產業(yè)發(fā)展狀況，分享IPv6改造防護經(jīng)驗，借助優(yōu)秀企業(yè)的技術實力，不斷學習、吸收先進的防護技術和理念。

分工開展各類IPv6軟硬件基礎設施在金融行業(yè)的測試工作，降低金融行業(yè)IPv6產品應用重復試錯成本。

　　（三）保障經(jīng)費投入。

金融行業(yè)要劃撥專項費用用于網(wǎng)絡設備升級換代，采購相應的防護服務。

確保路由器、防火墻和入侵檢測系統(tǒng)軟硬件功能、性能適應IPv6的安全需要。

同時經(jīng)費投入要滿足針對IPv6網(wǎng)絡開展的網(wǎng)絡安全等級保護、風險評估等工作的需要。

　　（四）做好技術防護。

金融行業(yè)對于引入IPv6后網(wǎng)絡安全領域出現(xiàn)的新問題，有針對性地采用靜態(tài)配置隧道、密碼生成地址、擴展頭合法性檢查、網(wǎng)絡層加密、關閉不必要服務端口、細化邊界設備過濾規(guī)則、防范翻譯設備DDoS攻擊等策略、方式確保業(yè)務連續(xù)性能力和安全保護能力不低于原有水平。